Auftragsverarbeitungsvertrag (DPA)
Auftragsverarbeitungsvertrag gemäss Art. 9 DSG, wonach Vergasta Digital als Auftragsverarbeiter im Auftrag des nutzenden Unternehmens (Verantwortlicher) handelt.
Letzte Aktualisierung: 18. Juni 2026
Dieser Auftragsverarbeitungsvertrag im Bereich des Datenschutzes (« DPA ») ergänzt die AGB und gilt, wenn Vergasta Digital personenbezogene Daten im Auftrag des Axolot-nutzenden Unternehmens als Auftragsverarbeiter im Sinne von Art. 9 DSG verarbeitet.
Parteien
- Der Verantwortliche ist das nutzende Unternehmen (Einzelunternehmer, Einzelfirma oder juristische Person), das einen Arbeitsbereich in Axolot erstellt.
- Der Auftragsverarbeiter ist Vergasta Digital, 2610 Saint-Imier, Schweiz, contact@vergasta.ch.
Gegenstand und Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, ausschliesslich zur Bereitstellung des Axolot-Dienstes (Buchhaltungsführung, Rechnungsstellung, Bankabstimmung, Speicherung von Belegen). Die Verarbeitung dauert, solange das Unternehmenskonto aktiv ist und gegebenenfalls während gesetzlicher Aufbewahrungsfristen.
Art und Zweck der Verarbeitung
- Hosting und Speicherung von Buchhaltungsdaten und Belegen.
- Erstellung von Geschäftsdokumenten (QR-Rechnungen, Offerten).
- Automatische Datenextraktion aus Belegen (Infomaniak-KI, Schweiz).
- Import von Bankbewegungen (Open Banking).
- Treuhand-Export und Datenübertragbarkeit.
Datenkategorien und betroffene Personen
| Kategorie | Betroffene Personen |
|---|---|
| Kontaktdaten von Kunden und Lieferanten | Kunden und Lieferanten des Verantwortlichen |
| Buchhaltungsunterlagen (Rechnungen, Offerten, Buchungen) | Kunden, Lieferanten, Drittzahler |
| Belege und Quittungen | Der Verantwortliche, auf den Unterlagen genannte Dritte |
| Importierte Bankdaten | Transaktionsgegenparteien |
Pflichten des Auftragsverarbeiters
- Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten (Nutzung des Dienstes).
- Vertraulichkeit der zur Datenverarbeitung befugten Personen gewährleisten.
- Angemessene technische und organisatorische Massnahmen umsetzen (Art. 8 DSG).
- Den Verantwortlichen bei der Ausübung der Rechte betroffener Personen unterstützen (Art. 25 bis 29 DSG).
- Den Verantwortlichen unverzüglich über Sicherheitsverletzungen informieren (Art. 24 DSG).
- Daten am Vertragsende löschen oder zurückgeben, vorbehaltlich gesetzlicher Aufbewahrungspflichten (Art. 958f OR).
Unterauftragsverarbeiter (Art. 7 VDSG)
Der Verantwortliche genehmigt im Voraus den Einsatz folgender Unterauftragsverarbeiter.
| Unterauftragsverarbeiter | Tätigkeit | Standort |
|---|---|---|
| Infomaniak Network SA | Hosting und Beleg-KI | Schweiz |
| Stripe, Inc. | Lizenzzahlung (nur SaaS-Abrechnungsdaten) | EU / international |
| SIX bLink | Open Banking | Schweiz |
| Revolut Ltd | Open Banking | EU / international |
| Google LLC / Apple Inc. | OAuth-Authentifizierung | EU / USA |
| E-Mail-Anbieter | Transaktionaler Versand | Schweiz |
Widerspruchsverfahren (Art. 7 Abs. 3 VDSG). Bei Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters informiert der Auftragsverarbeiter den Verantwortlichen mindestens 30 Tage vor Inbetriebnahme per E-Mail. Der Verantwortliche kann innerhalb dieser Frist schriftlich mit Begründung widersprechen. Bei einem berechtigten, ungelösten Widerspruch kann der Verantwortliche den Vertrag ohne Strafe kündigen und den Export seiner Daten erhalten.
Übermittlungen ins Ausland
Buchhaltungsdaten und Belege werden in der Schweiz gehostet. Übermittlungen an im Ausland ansässige Unterauftragsverarbeiter (Stripe, Revolut, OAuth) sind auf unbedingt erforderliche Daten beschränkt und durch angemessene Garantien im Sinne von Art. 16 und 17 DSG geregelt.
Schicksal der Daten bei Vertragsende
Bei Kontoschliessung kann der Verantwortliche sämtliche Daten exportieren (Treuhand-Export und JSON/CSV-Übertragbarkeit). Nach angemessener Frist löscht der Auftragsverarbeiter verbleibende Daten, ausser bei gesetzlicher Aufbewahrungspflicht (10 Jahre für Buchhaltungsunterlagen, Art. 958f OR).
Annahme
Mit der Erstellung eines Unternehmens in Axolot akzeptiert der Verantwortliche diesen DPA. Eine datierte Kopie der Annahme wird mit dem Konto gespeichert.